Что такое NetBus и как им пользоваться
[ Хакерство для новичков ] 


В этой статье я хочу рассказать о том, что такое NetBus, как им пользоваться и как его удалить с зараженного компьютера.
За возможный вред нанесенный этой статьей - автор статьи ответственности не несет, так как она написанна только для ознакомления с возможной опасностью!
NetBus - это вирус из серии backdoor. Вирусы этого типа попав на компьютер (та часть, которая попадает на компьютер жертвы называется сервером) и заразив его резервируют под себя порт и добавляют себя в автозагрузку (если им это указанно). После этих действий злоумышленник (владеющий клиентом или центром управления) может подключиться к этому компьютеру (если знает его IP-адрес, а в некоторых случаях требуется и пароль к серверу) и делать с компьютером, что душе угодно (это ограничивается лишь фантазией и возможностями вируса). Таким образом, сервер становится "глазами" и "руками" на компьютере жертвы.
Наибольшую известность получили два backdoor`а: NetBus и BackOrifice (BO). BO - более функциональный (его написал "Культ мертвой коровы"), но NetBus более прост в обращении. Для написания этой статьи я пользовался NetBus`ом 1.7 ( у NetBus`а 1.6 немного меньше функциональных возможностей, но в целом они очень похожи). Написан он (NetBus 1.6/1.7) в 1998 году, а его автор Carl-Fredrik Neikter (домашняя страница автора). NetBus 1.7 является бесплатным ПО и его можно скачать по адресу: http://www.web-hack.ru/download/download.php?go=31 (479 Kb). 1.7 - это не последняя версия! После нее уже вышло несколько версий 2.* Вторые версии NetBus`а являются уже не бесплатными и требуют регистрации, но достать S/N в Интернете не составит труда.
Теперь давайте вплотную приступим к изучению этой проги. Оригинальный пакет NetBus`а содержит в себе следующие файлы:
NetBus.exe - клиент (центр управления) 
Patch.exe - сервер. Он написан на Inprise Delphi и поэтому весит 494 Kb 
NetBus.rtf - описание NetBus`а автором (на английском) 
Для того чтобы заразить компьютер, требуется запустить на компьютере жертвы сервер NetBus`а (Patch.exe). Запустить его можно, как обычную консольную программу или как CGI-приложение (из web-броузера). Сервер можно запускать со следующими ключами:
/noadd - для одноразового использования NetBus`а. Сервер только загружает себя только в оперативку и не копирует себя в папку с виндой и не добавляет свой ключ в реестр 
/port:х - указывает на какой надо сесть порт (по умолчанию 12345), где х - номер порта. Этот ключ появился в версии 1.7 
/pass:х - назначает пароль для доступа к серверу, где х - пароль 
/remove - удаляет сервер из оперативной памяти и ключ в реестре для автозагрузки (сам сервер не удаляется из папки с виндой) 
После обычно запуска Patch.exe (кликом мышки), сервер копирует себя в папку с Windows (NetBus написан под Windows NT/9x), создает там файл своей конфигурации Patch.ini и файл KeyHook.dll. Далее сервер добавляет ключ в реестр для своей автозагрузке при каждом запуском винды.
Ключ: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
Параметр: Patch
Значение параметра: C:WindowsPatch.exe /nomsg 

Стоит заметить, что если имя сервера имело другое название (например, cool.exe), то соответственно и файлы в папке с виндой будут иметь название cool, а значение в ключе реестра имя параметра изменится тоже на cool!!! Достойно внимания еще то, что если запустить сервер без ключей (/port или /pass), то в реестре создается ключ соответствующий имени сервера (например, HKEY_CURRENT_USERPATCH), а если с ключами то создается файл конфигурации Patch.ini (где хранится пароль, порт и т.д.).
Далее cервер открывает socket в режиме ожидания на указанном порту и ждет подключения клиента. Когда происходит попытка подключиться к этому порту, то NetBus сообщает, что это собственно он и говорит свою версию. И если пароль не назначен, то происходит коннект. Стоит обратить внимание и на порт 12346, который используется для служебных целей.
Для дальнейшего изучения этой рульной проги можете себя заразить (желательно с применением ключей), все ровно в конце статьи я расскажу, как избавиться от NetBus`а. Пишем в командной строке следующее:
patсh.exe /port:4444 /noadd

Эта команда одноразово заражает вашу машину. Доступ к серверу разрешается по 4444 порту. Если вы смелый(ая), то можете запустить NetBus без ключа /noadd (например, так сделал я). После этой команды NetBus загружается в оперативку (в Win9x среди процессов он не будет виден и придется его искать более умными прогами) и создает в папке с Windows два файла Patch.ini и KeyHook.dll. NetBus использует для связи двух компьютеров протокол TCP и не шифрует пакеты данных, как BO. Теперь запускаем клиент (NetBus.exe). В поле Host name/IP пишем localhost (то есть ваш хост). В будущем в это поле вы будете вписывать имя хоста или IP-адрес жертвы. В поле Port вписываем 44444 и нажимам на Connect! Если вы все сделали правильно, то должен произойти коннект. Для проверки нажмите Open CD-ROM. Теперь давайте вкратце разберемся с функциональными возможностями проги.
Host name/IP - здесь задается имя хоста или IP-адрес жертвы 
Port - порт на котором висит сервер 
Connect!/Cancel - подсоединиться/отсоединиться от компьютера 
Scan! - просканировать диапазон адресов на наличие на них сервера NetBus 
About - о программе 
Memo - что-то вроде вашей записной книжки 
Add IP - запомнить введенный IP-адрес 
Del IP - удалить введенный IP-адрес 
Server admin - администрирование сервером NetBus`а. Можно добавить/удалить IP-адреса с которых можно подсоединиться к серверу, выгрузить сервер из оперативки или удалить его 
Open CD-ROM/Close CD-ROM - выдвинуть/задвинуть каретку сидюка. Можно задать интервал выезжания (поставив галочку возле in interval) и количество выездов (Function delay) 
Show images - показать изображение (в BMP/JPG-формате). Требуется ввести его адрес 
Swap mouse/Restore mouse - поменять/вернуть клавиши мыши местами 
Start program - запускает программу по указанному адресу 
Msg manager - позволяет отсылать на зараженный компьютер разные сообщения и присылать ответы на них 
Screendump - делает снимок экрана и отсылает на компьютер с клиентом 
Get info - немного информации и компьютере жертвы 
Port redirect - перенаправление на произвольном компьютере произвольного порта 
Play sound - проиграть WAV-файл 
Exit Windows - позволяет отлогинить пользователя, перезагрузить или выключить комп 
Send text - если в это время находятся активные поля для ввода текста, то туда вставится набранный текст 
Active wnds - список активных окон. Можно удалить или сделать активными приведенные в списке окна 
App redirect - перенаправление ввода-вывода консольного приложения на заданный порт 
Mouse pos - установка мыши на координаты заданные в верхних полях 
Listen - в появившемся окне выводятся все нажатия клавиш, и позволяет понажимать некоторые функциональные клавиши 
Sound system - позволяет изменить звуковые настройки и прослушать музыку играющею на компьютере (d WAV) 
Server setup - позволяет настроить сервер (например, поставить пароль) 
Control mouse/Stop control - включить/выключить слежку за координатами мышки на компе жертвы 
Go to URL - открыть назначенный URL в браузере назначенном по умолчанию 
Key manager - назначает издавать звуки при нажатии клавиш, заблокировать/разблокировать выбранные клавиши или всю клавиатуру в целом 
File manager - управление файловой системой компьютера с сервером (чтение/запись/удаление файлов). 
Вот в принципе все возможности NetBus`а. В принципе их довольно много и в большинстве случаев для администрирования удаленного компа хватает. Некоторые функции приведенные выше отсутствуют в NetBus 1.6, но в целом все очень похоже.
Теперь давайте поговорим, как избавится от сервера заразившего компьютер. Для этого вначале залезем в реестр по ключу от куда может происходить автозагрузка сервера:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

Если там есть параметр Patch, то удаляем его, идем в папку с Windows и даем там команду:
patch.exe /remove

Эта команда выгрузит сервер из оперативки и удалит его из автозагрузки. Далее из это папки (с Windows) удаляются следующие файлы: patch.exe, patch.ini (его может не быть) и KeyHook.dll . Вот и все. Правда есть одно НО. Если у сервера. который заразил компьютер было иня не Patch.exe , а другого то в реестр и в папке с виндой надо искать записи с именем сервера заразившем комп.
Теперь я хочу дать совет, как обойти пароль на удаленном сервере (он не работает для версий 1.5x):
Телнетимся к компьютеру (например, с помощью telnet.exe) с сервером на порт, где сидит NetBus (должна появится его версия и "x" означающий, что на сервере стоит пароль) 
Далее даем команду Password;1 (должно появиться сообщение Access;1). Этой командой сбрасывается пароль. 
Теперь вы можете установить через консоль новый пароль командой ServerPwd;xxx (xxx - новый пароль). А можем и удалить NetBus из памяти командой RemoveServer;1